Geen excuus voor slechte security overheid (opinie)

De consument gaat maar voor een ding. Goedkoop.
Geen mens die veiligheid van bekomert, uitzonderingen daargelaten.
Wie kijkt bijvoorbeeld of die leuke touwtjes waar de kinderen mee spelen veilig zijn? PAP, MAM ik wil dat hebben want de hele klas heeft het.
Wie kiest bijvoorbeeld die dure aannemer die alles netjes doet en alle veiligheids maatregelen heeft genomen? Doe maar een goedkope pool.

En dan nog wie kunnen dat soort zaken goed beoordelen?

Ja er zal altijd een aantal mensen zijn die kijkt hoe veilig een auto is maar de meeste mensen doen het alleen maar omdat de industrie er een unique selling point van heeft gemaakt.

@ Gert van Lee: Hoe zit het dan met bedrijven (en nee ik bedoel niet alleen de startups maar banken, verzekeraars, retailers...) die via wetgeving zoals onder andere de wet bescherming persoonsgegevens wel degelijk gebonden zijn aan het implementeren van privacy en security? zouden daar andere regels voor moeten gelden?

Iedereen die binnen de wet persoonsgegevens verzameld en opslaat moet deze ook volgens dezelfde wet beschermen.
Maar als ik deze gegevens nu in wil zien / aanpassen / of verwijderen loop ik toch tegen een muur aan.
Hoe kan ik bedrijven dwingen mijn gegevens te vernietigen, en hoe kan ik dit controleren?
Webwereld heeft ook een profiel van mij gemaakt (ik heb dit zelf ingevuld), maar daar kan ook aan worden gekoppeld wat mijn interesses zijn, om welke tijden ik meestal online ben en op WW lees.
Dus aan de hand van mijn bijdrage kan men politieke voorkeur en dergelijke aan mijn profiel koppelen.
Hoe krijg ik de controle terug over deze gegevens?
Deze vragen gelden natuurlijk niet alleen voor WebWereld, maar alle fora en andere diensten op internet, en met name de overheid.

Een van de primaire doelstellingen van de overheid zou het veiliger maken en houden van Nederland moeten zijn.

Dit geldt zowel in de fysieke als on-line wereld.

Maar onze overheid is natuurlijk geen beveiligingsbedrijf. Daarvoor huren ze andere partijen in, en op basis van een contract wordt een juiste dienstverlening verwacht (net als voor het bedrijfsleven). De klant (in dit geval de overheid) heeft op zijn beurt de plicht niet alleen de blauwe ogen van de leverancier te geloven, maar zelf onderzoek te (laten) doen.
Of dit nu gaat met behulp van een TPM verklaring, een (EDP) audit of een andere manier is eigenlijk niet relevant.

Wel relevant is dat niet elk risico moet worden afgedekt (ook niet door de overheid). Immers maatregelen kosten hoe dan ook geld (direct of indirect) en dit geld moet goed besteed worden. Zo moet voor een potentieel risico van EUR 1.000 geen EUR 5.000 worden uitgegeven.

Naast de overheid zijn er allerlei andere bedrijven die iets voor of namens de overheid doen (bekend voorbeeld: OV-kaart). Dat die kaart te kraken is, weten we wel. Maar zelden hoor je over het risicoprofiel dat hierbij hoort: de kosten voor het probleem zijn (vooralsnog) veel hoger dan de te verwachten verliezen voor de OV bedrijven. Er wordt dus vooralsnog niets gedaan, hetgeen past bij het risicoprofiel.
Wel ga ik ervan uit dat TLS het risicoprofiel in de gaten houdt...immers een OV jaarkaart 1e klas klinkt al veel interessanter...

Doel van mijn betoog: de overheid moet zorgen voor voldoende veiligheid (ook online). Blijft de discussie over het niveau van voldoende. Dit is echter een andere discussie dan gevoerd wordt.